Мы уже писали (https://t.me/forensictools/408) про отличный гаджет который можно собрать самому для того чтобы проверить, а не подсадил ли кто на смартфон или планшет чего-нибудь "стучащего" на вас. Отличная вещь, простая как в создание так и использование. Сегодня благодаря каналу @freedomf0x открыли для себя не менее интересный проект, но для более продвинутых пользователей:

PTS Project (ака PiRough)

[ github.com/PiRogueToolSuite ]

PiRogue — это устройство на базе Raspberry Pi, работающее в качестве сетевого маршрутизатора , при этом анализирующего сетевой трафик в режиме реального времени.

Может работать в трех различных режимах:

Киоск -  для тех, кто хочет знать, с какими серверами связывается его мобильное устройство. Как говорят сами создатели, может быть полезно для компаний, которые хотят знать, является ли их сотрудники целью сталкерского ПО.

Полевой режим - для экстренного реагирования (активный шпионаж, взлом устройства и т. д.) и оперативного проведения криминалистического анализ и сетевое обнаружение с помощью предустановленного набора инструментов

Экспертный режим - уже для матерых технарей, чтобы легко и в тоже время качественно:

- Определить список собираемых данных

- Оценить соответствие нормативным требованиям

- Проводить тестирование на проникновение

- Анализировать поведение вредоносных программ

- Сгенерировать отчет

В общем еще одна хорошая и нужная вещь из малинки!

|Субъекты КНР, спонсируемые государством эскплуатируют сетевых провайдеров и устройства |

😉Шизо доволен
🇺🇸АНБ, CISA и ФБР выкатили новую работу(бюллетень) из серии CSA про кибепрестуников КНР, которых спонсирует государство и использующие сетевых провайдеров и устройства для своих нужд, являющаяся логическим продолжением работ АНБ "Кибероперации, спонсируемые китайским государством: Наблюдаемые ТТП" и "Китайские Государственные Субъекты Используют Общеизвестные Уязвимости".

В бюллетене описывается процесс нацеливания субъектами КНР на телеком компании первого звена и сопутствующих поставщиков сетевых услуг, затем воспользовавшись уязвимости, которые являются повсеместно известными и скомпрометировали оных.
Также, после эксплуатации известных уязвимостей, удалось создать большие инфраструктурные цели для эксплуатации широкого спектра целей, начиная от частного и заканчивая государственными секторами. Причём ещё был задеты и телекоммуникационные провайдеры.

Ещё в работе описывается команды, выполняемые злоумышленника для создания инфраструктуры, и что не мало важно - рассказывается каким образом смягчить последствия путём: применение патчей безопасности, отключение неиспользуемых(ненужных) портов/протоколов и избавление от старого барахла в лице отслужившей свой срок сетевой инфраструктуре. После выполнения этих базовых вещей не стоит забывать про логинизирование интернет-служб и доступов к сетевой инфраструктуре. Можно ещё отметить про использование MFA для всех пользователей без исключения, а также использовать её для подключения к VPN, либо генерировать криптосойкие пароли, причём меняя их периодически.

Вроде бы советы и простые, однако даже их не придерживаются не только простые пользователи, но и крупные компании, в России с этим очень плохо, конечно, есть игроки, соблюдающие простейшие меры безопасности, но в большинстве своём используются слабые пароли, софт не обновляется вовремя, VPN настроен ужасно(заводские конфигурации), вообщем, можно до бесконечности говорить.
Вот выходят не рекомендации, а призывы к действию от CISA, при не выполнении которых компания теряет деньги вследствие полученных штрафов/временный запрет на осуществление всяких действий с оказанием услуг и не только, как пример можно привести директиву 22-03 (🖱тык🖱) от CISA.

#FBI #CISA #NSA #CVE #router #PRC

|PRC State-Sponsored Exploitation of Network Providers, Devices|

😉The schizo is happy.
🇺🇸The NSA, CISA and the FBI have rolled out a new work (bulletin) from the CSA series about Chinese cybercriminals sponsored by the state and using network providers and devices for their needs, which is a logical continuation of the NSA's work "Chinese State-Sponsored Cyber Operations: Observed TTPs " and "Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities"

The bulletin describes the process of targeting first-tier telecom companies and related network service providers by the subjects of the PRC, then taking advantage of vulnerabilities that are universally known and have compromised them.
Also, after exploiting known vulnerabilities, it was possible to create large infrastructure targets for exploiting a wide range of targets, ranging from private to public sectors. Moreover, telecommunications providers were also affected.

The work also describes the commands executed by an attacker to create an infrastructure, and what is not a little important - it tells how to mitigate the consequences by: applying security patches, disabling unused (unnecessary) ports/protocols and getting rid of old junk in the face of a network infrastructure that has served its time. After completing these basic things, do not forget about logging in Internet services and access to the network infrastructure. You can also mention the use of MFA for all users without exception, as well as use it to connect to a VPN, or generate cryptographic passwords, and changing them periodically.

It seems that the tips are simple, but even they are not followed not only by ordinary users, but also by large companies, this is very bad in Russia, of course, there are players who observe the simplest security measures, but for the most part weak passwords are used, software is not updated on time, VPN is configured terribly (factory configurations), in general, you can talk endlessly.
Here are not recommendations, but calls to action from CISA, in case of non-fulfillment of which the company loses money due to fines received / a temporary ban on performing any actions with the provision of services and not only, as an example, directive 22-03(🖱click🖱) from CISA can be cited.

#FBI #CISA #NSA #CVE #router #PRC

|DFTimewolf |

🕵️‍♂️Довольно удобная во всех смыслах платформа для форензик - специалиста, позволяющая не затрачивая много сил, собирать, обрабатывать и экспортировать данные в ходе криминалистического анализа.
Есть статья про исследование GKE контейнера, где в одном из этапов используется dftimewolf, так что можно посмотреть как используется в рабочем процессе.

💥Установка донельзя простая:
загружаем, как и любой другой репозиторий к себе на машину в нужную дерикторию

git clone https://github.com/log2timeline/dftimewolf.git

&& cd dftimewolf
затем устанавливаем необходимые модули/пакеты с помощью питоновского пакетного менеджера

pip3 install -r requirements.txt
pip install -e .

Либо в одну команду:
python3 setup.py install
Воспользуемся распространенным флагом "-h" и получим информацию о рецептах

dftimewolf -h

Или можем получить информацию по конкретному рецепту:

dftimewolf имя_рецепта -h

Обычно рецепт запускается с несколькими аргументами:

dftimewolf название_рецепта аргумент1 аргумент2 аргумент3 --optarg1 optvalue1

Пример со сбором активности в браузере:

dftimewolf grr_artifacts_ts tomchop.greendale.xyz collection_reason --artifact_list=BrowserHistory

Про архитектуру фреймворка можно почитать 🔘тут🔘

🕵️‍♂️A fairly convenient platform for a forensic specialist in every sense, which allows you to collect, process and export data during forensic analysis without spending a lot of effort.
There is an article about the Investigating a GKE Container, where dftimewolf is used in one of the stages, so you can see how it is used in the workflow.

💥Installation is extremely simple:
upload, like any other repository to your machine in the right directory

git clone https://github.com/log2timeline/dftimewolf.git

&& cd dftimewolf
then install the necessary modules/packages using Python package manager

pip3 install -r requirements.txt
pip install -e .

Or in one command:

python3 setup.py install

Let's use the common flag "-h" and get information about the recipes

dftimewolf -h

Or we can get information on a specific recipe:

dftimewolf prescription name -h

Usually a recipe is run with several arguments:

dftimewolf recipe_name argument1 argument2 argument3 --optarg1 optvalue1

Example with collecting activity in the browser:

dftimewolf grr_artifacts_ts tomchop.greendale.xyz collection_reason --artifact_list=BrowserHistory

You can read about the architecture of the framework 🔘here🔘

#forensics

🗒Список курсов/блогов по форензике для начинающих(со временем буду пополнять)/
The list of courses / blogs on forensics for beginners (I will replenish it over time):
🔓Practical Windows Forensics Training
🔓IoT Digital Forensics Course with hands-on labs
🔓course on "Digital Forensics"
🔓Digital Forensics Guide
🔓Guide to Quick Forensics
🔓Linux Forensics
🔓BSidesRoc 2022 Linux Malware/Forensics Course
🔓A curated list of awesome Memory Forensics for DFIR
🔓Digital Forensics Basics: A Practical Guide for Kubernetes DFIR
🔓Digital Forensics Challenge -- Beginner
🔓Digital Forensics and Incident Response Blog Geared Toward Beginners
🔓Forensic Methodology Report: How to catch NSO Group’s Pegasus
🔓ZENA FORENSICS
🔓Honeypot Network Forensics

#forensics #course #collection

|Удобно? А давай тебя сдеаноним? Часть1|

Сразу скажу, Шизо(это я, вдруг кто забыл) предупреждает, что данный способ не точен и в дикой природе будет не сильно эффективен против подкованного анонима, но тут тоже есть приблуды для повышения точности.
Также, не мало важно, пост возможно будет редактироваться, ибо нахожусь в бредовом состоянии и предложения могут быть не связаны между собой(предупредил - значит вооружил).

Сегодня под катом способ деанонимизации пользователей луковичной маршрутизации из-за упрощения обыденных вещей.
Все же мы любим переключаться между вкладками/окнами, а как известно и неоднократно повторял: безопасно, значит неудобно. После длительных дискуссий, приведения тонны материалов с PoC различных атак на эти "безопасные и очень удобные" системы, многие затихают. Да, есть индивидуумы, которые и это не воспринимают, с такими лучше разрывать общение, но сейчас не об этом.

Итак, что же не так с использованием ещё одного браузера, только внутри которого открываются клирнетовские сайты? Речь о том, что когда запускаем тор браузер и попутно к примеру chromium. Да, звучит тупо, не отрицаю.
Кто не понял, тор браузер - нафаршированная лиса и не более, конечно, защищённая от некоторых видов атак, но как показала практика, многие атаки проводятся без особых затруднений, ибо по факту они крайне вяло текуче закрываются патчами.

Наконец, перейдём к конкретике.
Атаки на компрометирование анона с сопоставлением его виртуальной и реальной личности, где один из этапов был связывание активности в Tor и вне, когда используется реальный IP-адрес, позволяющий дальше развязать цепочку.
Так вот, как 2017 году я только начинал изучать методы и способы деанонимизации и мне попался на глаза способ атакой на анона, который либо открывает несколько браузеров(Tor браузер и ещё какой-либо), или открывает несколько вкладок в Tor браузере с разных сайтов и что самое главное должен быть включен JS в обоих браузерах.

Если раньше попадались на глаза плохо оформленные, да и без нормально проведённых тестов статьи, то полгода назад наткнулся на репозиторий, где плюс-минус подробно разбирается атака "тупое переключение вкладок/окон", название было дано ещё когда я дискутировал на одном давно умершем форуме. Автор конкретно разграничивает на Tor браузер + обычный браузер и Tor браузер с открытыми несколькими вкладками.

Нужно сразу разочаровать, но во-первых, если JS отключен в браузере, как писал выше, то атака будет безуспешной фактически(то, что автор описывает про то, что нет факторов предчувствующих сильно этому, но в ходе общения с людьми из интерпола, в жизни всё сложнее) , а также если сайты не собирают x и y координаты мыши вместе с данными времени и не общаются друг с другом для обмена ими, то точно не выйдет. Хотя сбор и общение осуществляется на очень большом количестве сайтов, ещё толчок этому дало создание GIFCT(Глобального интернет-форума по борьбе с терроризмом).

Автор предлагает обходить встроенную в Tor браузер защиту(танцы в движке и шаманизм с JS от разработчиков браузера ещё 12 лет назад) вычислять заданное затраченное время на перемещение курсора на основе плотности зарегистрированных точек.

🖱Ссылка на исследование атак🖱

#shizo #tor #deanonymization

|Удобно? А давай тебя сдеаноним? Часть2|

Вернёмся к атакам.
Тор браузер + обычный браузер.
В этом случае активность пользователя связывается между активностью в Tor браузере с IP-адресом, не принадлежащим Tor посредством:
💥когда мы ведём мышь из Tor браузера в обычный(не Tor) браузер, причём работает это в обе стороны
💥переключение между браузера посредством хоткейс

Переключение вкладок внутри Tor браузера между несколькими сайтами.
Как бы по бумагам внутри Tor браузера, когда создаётся новая вкладка, попутно получается выходная нода, содержащая IP-адрес. В дикой природе при отладке зверь показывает себя ещё интереснее. Так вот, те кто поклоняется хоткеям и пытается совмещать с обеспечением безопасности - это очень тонкий лёд, ведь когда мы начинаем между ними переключаться, то мы получаем патерн, который вряд ли повторится, что позволит сопоставить открытые вкладки(сайты) с конкретной цифровой личностью, а дальше сами знаете, шизофрения и все дела.

Кроме x и y координат совместно со временем ещё используется показатель угла, скорости и ускорения для дальнейшего анализа. Также показатель кликабельности вкладок в Tor(CTR - для наглядности можно пощупать DeepCTR) используется для получения данных о местоположении и временных рамках, но раньше было более эффективно, ведь мало кто пользовался хоткеями для переключения между вкладками.

На основе вышеуказанных параметров мы можем получать расстояние между точками входа и выхода в браузере, что позволяет создать не плохой такой фингерпринт. Кстати, многие думают, что вырезав многие модули/элементы или сборка из сорцев - прям защищает. Как показала практика расследования преступлений - нет, ибо таки "анонимов" немного и я не против голого андроида с дальнейшей настройкой, правда спецслужбам будет проще составить цифровой слепок, помогающий сопоставить с реальной личностью.

Как одно из простейших решений для более успешного проведения атак, будет изменение пороговых значений в меньшую сторону.
Далее, рекомендую ознакомиться с репозиторием поподробнее, ибо есть все скрипты для воссоздания этих двух схожих по сути атак.

На основе этих атак можно применить сразу несколько контрмер:
🔐не открываем другой браузер помимо Tor браузера, либо запущенного Tor и настроенного chromium или firefox под условно безопасное использование в связке с луковичным маршрутизатором.
🔐блокируем отслеживание сайтами позиции курсора по x и y, а также сопутствующее время, скорость и ускорение
🔐отключаем JS(очень очевидный, но верный совет)
🔐углубляемся в матчасть, для борьбы с метриками
🔐когда писал про Timing Attack, упомянул sdwate и tirade, вообщем сами додумаете, только применить придётся по-другому.
🔐можем менять в разумных предал IP-адреса в ходе одной сессии
🔐ну и куда без жонглирования данными для их искажения
Над остальными подумаете сами, всё-таки подписчики Шизо умные и сообразительные!

🖱Ссылка на исследование атак🖱

#shizo #tor #deanonymization

|Convenient? And let's deanonymize you? Part1|

I must say right away, the Schizo (it's me, suddenly someone forgot) warns that this method is not accurate and in the wild it will not be very effective against a savvy anonymous, but there are also strays to increase accuracy.
Also, not a little important, the post may be edited, because I am in a delusional state and the proposals may not be related to each other (warned means armed).

Today, there is a way to deanonymize onion routing users because of the simplification of everyday things.
Still, we like to switch between tabs /windows, and as you know, I have repeatedly said: safe means inconvenient. After lengthy discussions, bringing tons of materials with PoC of various attacks on these "safe and very convenient" systems, many quiet down. Yes, there are individuals who do not perceive this either, it is better to break off communication with such, but this is not about that now.

So, what's wrong with using another browser, only inside which clearnet sites are opened? The point is that when we launch the tor browser and along the way, for example, chromium. Yes, it sounds stupid, I don't deny it.
Who did not understand, the tor browser is a stuffed fox and no more, of course, protected from some types of attacks, but as practice has shown, many attacks are carried out without much difficulty, because in fact they are extremely sluggish and fluid with patches.

Finally, let's move on to specifics.
Attacks on compromising anon with a comparison of his virtual and real identity, where one of the stages was linking activity in Tor and out, when a real IP address is used, allowing further untie the chain.
So, in 2017, I was just starting to study methods and methods of deanonymization and I caught sight of a method of attacking anon, which either opens several browsers (Tor browser and some other), or opens several tabs in the Tor browser from different sites and most importantly, JS should be enabled in both browsers.

If earlier articles were poorly designed, and even without properly conducted tests, then six months ago I came across a repository where, plus or minus, the "stupid tab/window switching" attack was analyzed in detail, the name was given even when I was debating on a long-dead forum. The author specifically distinguishes between a Tor browser + a regular browser and a Tor browser with several tabs open.

You need to disappoint right away, but first, if JS is disabled in the browser, as I wrote above, then the attack will be unsuccessful in fact (what the author describes about the fact that there are no factors that strongly anticipate this, but in the course of communicating with people from Interpol, it's more difficult in life), and also if the sites are not if they collect the x and y coordinates of the mouse together with the time data and do not communicate with each other to exchange them, then it will definitely not work. Although the collection and communication is carried out on a very large number of sites, the creation of GIFCT (a Global Internet Forum on Combating Terrorism) gave another impetus to this.

The author suggests bypassing the protection built into the Tor browser (dancing in the engine and shamanism with JS from the browser developers 12 years ago) to calculate the specified time spent on moving the cursor based on the density of registered points.

🖱Link to attack research🖱

#shizo #tor #deanonymization